Драйверы LSASS в Windows - это легитимные драйверы, загружаемые подсистемой Local Security Authority Subsystem для управления различными политиками безопасности. Злоумышленники выбирают эти драйверы из-за их высокого уровня привилегий, которые при компрометации могут предоставлять глубокий доступ к системе, позволяя осуществлять постоянную и скрытую эксплуатацию зараженной хост-системы.
Использование драйвера LSASS злоумышленниками
Служба Local Security Authority Subsystem Service (LSASS) является критической целью для злоумышленников, поскольку она играет важную роль в обеспечении соблюдения политик безопасности, управлении аутентификацией пользователей и защите конфиденциальной информации, такой как учетные данные пользователей. Работая как процесс в пользовательском режиме через lsass.exe, LSASS полагается на библиотеки динамических ссылок (DLL) для выполнения своих функций, что делает его привлекательным вектором для злоумышленников, ищущих постоянный доступ к взломанным системам. Злоумышленники могут использовать LSASS, внедряя вредоносный код в его процесс, модифицируя системные компоненты или манипулируя ключами реестра для загрузки несанкционированных библиотек DLL.
Один из методов заключается в изменении недокументированного ключа реестра HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LsaDbExtPt, что позволяет загружать вредоносные DLL в процесс LSASS. Это позволяет злоумышленникам выполнять свой код с повышенными привилегиями, предоставляя им глубокий доступ к системе. Помимо прямых манипуляций, злоумышленники могут перехватить поток выполнения легитимных компонентов LSASS, чтобы обеспечить инициализацию своей полезной нагрузки при загрузке системы или входе пользователя в систему, глубоко внедряясь в систему безопасности.
Такая техника персистенции обеспечивает постоянный доступ, облегчает латеральное перемещение и позволяет злоумышленникам оставаться незамеченными при взаимодействии с другими критическими системными процессами. Такие действия могут нарушить работу механизмов безопасности, собрать учетные данные и сохранить плацдарм для длительной эксплуатации.